Accueil
«
»

1. CONSEILS DE LA CNIL AUX DSI POUR LA SECURITE DES SYSTEMES D’INFORMATION par

 

1. CONSEILS DE LA CNIL AUX DSI POUR LA SECURITE DES SYSTEMES D’INFORMATION

Le 12 octobre 2009, la Cnil a publiĂ© sur son site internet un article intitulĂ© « 10 conseils pour sĂ©curiser votre systĂšme d’information » suite aux constats qu’elle a effectuĂ©s lors de contrĂŽles sur place.

Pour mĂ©moire, l’article 34 de la loi n°78-17 du 6 janvier 1978 relative Ă  l’informatique, aux fichiers et aux libertĂ©s stipule que « Le responsable du traitement est tenu de prendre toutes prĂ©cautions utiles, au regard de la nature des donnĂ©es et des risques prĂ©sentĂ©s par le traitement, pour prĂ©server la sĂ©curitĂ© des donnĂ©es et, notamment, empĂȘcher qu’elles soient dĂ©formĂ©es, endommagĂ©es, ou que des tiers non autorisĂ©s y aient accĂšs ».

La Cnil indique que l’exigence de sĂ©curitĂ© se traduit par un ensemble de mesures que les dĂ©tenteurs de fichiers doivent mettre en Ɠuvre, essentiellement par l’intermĂ©diaire de leur direction des systĂšmes d’information (DSI) ou de leur responsable informatique » :

1. Adopter une politique de mot de passe rigoureuse
2. Concevoir une procédure de création et de suppression des comptes utilisateurs
3. SĂ©curiser les postes de travail
4. Identifier précisément qui peut avoir accÚs aux fichiers
5. Veiller à la confidentialité des données vis-à-vis des prestataires
6. Sécuriser le réseau local
7. SĂ©curiser l’accĂšs physique aux locaux
8. Anticiper le risque de perte ou de divulgation des données
9. Anticiper et formaliser une politique de sĂ©curitĂ© du systĂšme d’information
10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi « informatique et libertés »

Ainsi, les mots de passe des postes informatiques doivent contenir au minimum 8 caractĂšres alphanumĂ©riques et spĂ©ciaux. Les comptes utilisateurs permettant d’accĂ©der Ă  des donnĂ©es personnelles doivent ĂȘtre nominatifs et non gĂ©nĂ©riques. Les postes informatiques doivent se verrouiller automatiquement au-delĂ  d’une courte pĂ©riode d’inactivitĂ©. Les donnĂ©es sensibles, telles que les donnĂ©es de santĂ© ou les numĂ©ros de carte bancaire, doivent faire l’objet d’un chiffrement.

L’article 35 de la loi Informatique et LibertĂ©s doit ĂȘtre strictement respectĂ© et les sous-traitants qui interviennent sur des systĂšmes d’information contenant des donnĂ©es personnelles doivent prĂ©senter des garanties suffisantes pour assurer la mise en Ɠuvre des mesures de sĂ©curitĂ© et de confidentialitĂ© et avoir signĂ© une clause relative Ă  la protection de la sĂ©curitĂ© et de la confidentialitĂ© des donnĂ©es.

Les salles d’hĂ©bergement des serveurs et des Ă©lĂ©ments rĂ©seau doivent faire l’objet d’une sĂ©curitĂ© physique renforcĂ©e, les systĂšmes d’information doivent quant Ă  eux ĂȘtre soumis Ă  des systĂšmes de sĂ©curitĂ© logique, notamment en ce qui concerne les connexions Ă  distance ou les rĂ©seaux wifi. Les donnĂ©es doivent ĂȘtre sauvegardĂ©es rĂ©guliĂšrement et les supports de sauvegarde stockĂ©s dans un local distinct.

Enfin, le facteur humain doit naturellement ĂȘtre pris en compte, il est donc recommandĂ© aux entreprises de former leur personnel aux rĂšgles contenues au sein de la loi informatique et libertĂ©s, et d’adopter des politiques de sĂ©curitĂ© des systĂšmes d’information et des chartes informatiques rĂšglementant les usages des technologies dans l’entreprise.
2. RESPONSABILITE POUR FAUTE DE L’AFNIC

AprĂšs le jugement du Tribunal de Grande Instance de Paris du 26 aoĂ»t 2009 qui avait prĂ©cisĂ© le rĂ©gime de responsabilitĂ© applicable Ă  l’Afnic et aux bureaux d’enregistrement des noms de domaine, c’est au tour du Tribunal de Grande Instance de Versailles de condamner l’Afnic pour faute en raison de son inactivitĂ© suite Ă  une mise en demeure.

La sociĂ©tĂ© Francelot, titulaire du nom de domaine www.francelot.com, ayant constatĂ© que le nom de domaine www.francelot.fr avait Ă©tĂ© rĂ©servĂ© par un tiers, dont les nom et coordonnĂ©es n’était pas accessible en raison de l’option « diffusion restreinte » activĂ©e par dĂ©faut pour les enregistrements rĂ©alisĂ©s par une personne physique, a mis en demeure I’Afnic de communiquer les coordonnĂ©es du dĂ©posant et de rendre inactive l’adresse www.francelot.fr.

A dĂ©faut pour l’Afnic de s’ĂȘtre exĂ©cutĂ©, la sociĂ©tĂ© Francelot assignait (a) le titulaire du nom de domaine www.francelot.fr, identifiĂ© suite Ă  une ordonnance sur requĂȘte autorisant la levĂ©e de l’anonymat du dĂ©posant, et (b) l’Afnic, en concurrence dĂ©loyale par dĂ©tournement de clientĂšle et parasitisme.

Dans un jugement du 6 octobre 2009, le TGI de Versailles a considĂ©rĂ© qu’aucune faute ne pouvait ĂȘtre reprochĂ©e Ă  l’Afnic sur le terrain de la levĂ©e de l’anonymat, l’article 30 de la Charte de nommage applicable Ă  l’époque des faits prĂ©voyant expressĂ©ment que les coordonnĂ©es personnelles ne peuvent ĂȘtre communiquĂ©es par I’Afnic que sur rĂ©quisition judiciaire ou aprĂšs mise en Ɠuvre d’une procĂ©dure alternative de rĂ©solution des conflits. Le tribunal juge donc qu’en « l’absence de mise en Ɠuvre d’une telle procĂ©dure, l’Afnic Ă©tait fondĂ©e Ă  refuser la levĂ©e de l’anonymat du dĂ©posant du nom de domaine litigieux, dans l’attente de l’ordonnance prĂ©sidentielle du 14 juin 2007. »

Toute autre est la dĂ©cision du tribunal quant Ă  la demande de blocage du nom de domaine francelot.fr formulĂ©e par la sociĂ©tĂ© Francelot dans sa mise en demeure. En effet, l’article 23 de la Charte de nommage, rĂ©digĂ©e par I’Afnic, lui impose de procĂ©der au blocage d’un nom de domaine chaque fois qu’elle a identifiĂ© une violation des termes ou de l’esprit de la charte. Or, la mise en demeure adressĂ©e Ă  l’Afnic devait lui permettre d’identifier une violation de la charte. L’Afnic devait donc procĂ©der au blocage conservatoire du nom de domaine francelot.fr, « le cas Ă©chĂ©ant aprĂšs s’ĂȘtre assurĂ©e de la pertinence des droits invoquĂ©s par la sociĂ©tĂ© Francelot, invitĂ©e Ă  produire tous justificatifs utiles ».

Ainsi le tribunal considĂšre que « En s’abstenant de toute initiative de blocage, l’Afnic a contribuĂ© Ă  la persistance de l’impact parasitaire du site francelot.fr et Ă  la perte d’image de la sociĂ©tĂ© Francelot, prĂ©judices qu’il convient d’arbitrer Ă  la somme de 4500 euros ».

Cette dĂ©cision, va Ă  l’encontre de la politique de l’Afnic, qui consiste Ă  considĂ©rer qu’elle ne saurait ĂȘtre tenue « par l’envoi de lettres, de sommations ou copies d’assignation » , et pourrait donc contraindre l’association Ă  ĂȘtre plus attentive aux demandes – justifiĂ©es – qui lui sont adressĂ©es. Ce d’autant que l’article R20-44-49 du Code des postes et des communications Ă©lectroniques stipule que « Les offices sont tenus de bloquer, supprimer ou transfĂ©rer, selon le cas, des noms de domaine :

– lorsqu’ils constatent qu’un enregistrement a Ă©tĂ© effectuĂ© en violation des rĂšgles fixĂ©es par la prĂ©sente section du code des postes et des communications Ă©lectroniques ;

– en application d’une dĂ©cision rendue Ă  l’issue d’une procĂ©dure judiciaire ou extrajudiciaire de rĂ©solution des litiges ».
3. PROJET DE LOI RELATIF A L’OUVERTURE A LA CONCURRENCE ET A LA REGULATION DU SECTEUR DES JEUX D’ARGENT ET DE HASARD EN LIGNE

Aujourd’hui, la lĂ©gislation française pose le principe selon lequel les jeux d’argent et de hasard sont interdits, avec des exceptions notamment en ce qui concerne les casinos, le PMU et la Française des jeux.

Sous la pression europĂ©enne, un projet de loi relatif Ă  l’ouverture Ă  la concurrence et Ă  la rĂ©gulation du secteur des jeux d’argent et de hasard en ligne a Ă©tĂ© dĂ©posĂ© le 25 mars 2009. Le 13 octobre 2009, l’AssemblĂ©e nationale a d’adoptĂ© ce projet, modifiĂ© par de nombreux amendements, qui doit dĂ©sormais ĂȘtre examinĂ© par le SĂ©nat.

Ce projet de texte prĂ©voit notamment l’ouverture Ă  certains types de jeux et paris en ligne qui remplissent deux critĂšres cumulatifs : faire appel au savoir-faire des joueurs et faire intervenir plusieurs joueurs (tel que par exemple, les paris hippiques, les paris sportifs ou encore le poker en ligne). La rĂšglementation du hors-ligne reste donc inchangĂ©e.

Les opérateurs qui souhaitent proposer des jeux ou paris en ligne autorisés par le texte devront obtenir un agrément, délivré par la nouvelle Autorité de régulation des jeux en ligne(ARJEL), pour une durée de cinq ans renouvelable.

A cette fin, les opĂ©rateurs devront se conformer Ă  un cahier des charges dont le contenu sera proposĂ© par l’ARJEL puis approuvĂ© par le ministre de l’intĂ©rieur, le ministre chargĂ© du budget, le ministre chargĂ© de l’agriculture et le ministre chargĂ© des sports.

Enfin, on peut noter que le projet de loi encadre strictement la publicitĂ© en faveur d’un opĂ©rateur de jeux d’argent et de hasard lĂ©galement autorisĂ©, celle-ci devant ĂȘtre assortie d’un message de mise en garde contre l’addiction au jeu. En outre, cette publicitĂ© sera interdite dans les publications Ă  destination des mineurs, durant les pĂ©riodes au cours desquelles sont programmĂ©es des Ă©missions Ă  destination des mineurs sur les services de tĂ©lĂ©vision et de radio, dans les services de communication au public en ligne Ă  destination des mineurs, et dans les salles de cinĂ©ma lors de la diffusion d’Ɠuvres Ă  destination des mineurs.

4. PARASITISME ET SITE INTERNET

La Cour d’appel de Paris vient de condamner, une fois encore, un site internet en raison d’agissements parasitaires à l’encontre d’un autre site web concurrent.

Par un arrĂȘt du 30 septembre 2009, la Cour rappelle que « le parasitisme est un ensemble de comportements par lequel, un agent Ă©conomique s’immisce dans le sillage d’un autre afin de tirer profit sans rien dĂ©penser de ses efforts et de son savoir-faire ; que cet agissement qui consiste Ă  “vivre aux crochets” d’un autre, n’implique pas nĂ©cessairement un risque de confusion, ni mĂȘme une situation de concurrence ; qu’il suppose une faute, un prĂ©judice et un lien de causalitĂ© entre les deux ; que la faute est, en la matiĂšre, tout acte contraire aux usages du commerce, ou a fortiori dĂ©loyal ».

En l’espĂšce, le site internet la sociĂ©tĂ© Ă©ditant le site www.mylittleparis.com avait assignĂ© la sociĂ©tĂ© qui Ă©dite le site www.doitinparis.com en raison de « troublantes similitudes » entre leur site, notamment quant aux illustrations.

AprĂšs avoir Ă©cartĂ© certaines similitudes en raison notamment de la banalitĂ© de ces Ă©lĂ©ments au regard de l’activitĂ© de ces deux sites, la Cour retient nĂ©anmoins la faute de la sociĂ©tĂ© Ă©ditrice du www.doitinparis.com, considĂ©rant que les ressemblances dans les illustrations ne saurait provenir du hasard, mais d’une dĂ©marche dĂ©libĂ©rĂ©e. Ainsi, par exemple, se retrouvait sur ces deux sites les dessins d’une conductrice qui passe la tĂȘte par la fenĂȘtre de sa voiture dĂ©capotable, d’une parisienne Ă  la terrasse d’un cafĂ© avec un serveur en arriĂšre plan dans une posture strictement semblable, ou encore d’une femme blonde assise devant son ordinateur.

Les juges ont condamnĂ© la sociĂ©tĂ© Ă©ditrice du www.doitinparis.com Ă  supprimer les illustrations litigieuses de son site internet et Ă  verser 5000 euros Ă  titre de provision sur dommages et intĂ©rĂȘts. En outre, la Cour ordonne la publication d’une partie de l’arrĂȘt sur la page d’accueil du site www.doitinparis.com pendant une durĂ©e de six mois.

Les dĂ©cisions de ce type ont tendance Ă  se multiplier. Les Ă©diteurs de site web doivent donc de plus en plus ĂȘtre vigilants quant aux actes de leurs salariĂ©s « crĂ©atifs » ou de leurs prestataires, et prendre soin de former les uns au respect des rĂšgles du commerce et notamment de la propriĂ©tĂ© intellectuelle, et de signer avec les autres des clauses de garantie d’originalitĂ© et de jouissance paisible.

5. SFR PERD SA MARQUE TEXTO

La société SFR, qui avait enregistré en mars 1998 la marque « Texto, Dites le en toutes lettres, dites le texto », puis en janvier 2001 la marque « Texto », a assigné la société One Texto et son gérant en contrefaçon de la marque Texto et en concurrence déloyale, en raison notamment du dépÎt par celui-ci de la marque semi-figurative « One Texto » et de la réservation du nom de domaine « OneTexto.com ».

Par un jugement en date du 29 janvier 2008, le Tribunal de Grande Instance de Paris avait déclaré la nullité des marques « Texto, Dites le en toutes lettres, dites le texto » et « Texto », pour défaut de distinctivité et débouté la société SFR de ses demandes fondées sur ces marques.

La Cour d’appel de Paris vient de confirmer le dĂ©faut de distinctivitĂ© de ces marques, la premiĂšre en raison de son caractĂšre descriptif, et la seconde du fait de son emploi dans le langage courant pour dĂ©signer ce service .
En effet, aux termes du Code de la propriĂ©tĂ© intellectuelle, seul peuvent ĂȘtre enregistrĂ© Ă  titre de marque, un signe distinctif par rapport aux produits ou services qu’il dĂ©signe. Ainsi, l’article L.711-2 du Code de la propriĂ©tĂ© intellectuelle stipule que sont dĂ©pourvus de caractĂšre distinctif :
« a) Les signes ou dénominations qui, dans le langage courant ou professionnel, sont exclusivement la désignation nécessaire, générique ou usuelle du produit ou du service ;
b) Les signes ou dĂ©nominations pouvant servir Ă  dĂ©signer une caractĂ©ristique du produit ou du service, et notamment l’espĂšce, la qualitĂ©, la quantitĂ©, la destination, la valeur, la provenance gĂ©ographique, l’Ă©poque de la production du bien ou de la prestation de service ;
c) Les signes constitués exclusivement par la forme imposée par la nature ou la fonction du produit, ou conférant à ce dernier sa valeur substantielle ».
Une marque doit donc ĂȘtre arbitraire ou fantaisiste, ce qui s’apprĂ©cie par rapport au public visĂ© ou au produit Ă  la date du dĂ©pĂŽt. Elle ne peut donc consister en une simple description du produit.

Alice COLLIN Françoise COLLIN
alice.collin@collin-avocats.fr
f.collin@collin-avocats.fr

Avocats
www.collin-avocats.fr
15 rue Margueritte 75017 PARIS
TEL : 01 44 29 26 60

Tags: , , , ,

Cet article a été publié le lundi 30 novembre 2009 à 12:40 et est classé dans ANDSI, Droit et Informatique. Vous pouvez en suivre les commentaires par le biais du flux RSS 2.0. Les commentaires et pings sont fermés.

Les commentaires sont fermés.

*/ ?>